A vírusra a Websense Security Labs számítógépes biztonsági cég szakemberei hívták fel a figyelmet. A trójai féreg felügyeli és ellenőrzi, hogy melyik oldalakat keresi fel a felhasználó az Internet Explorerrel és azonnal aktivizálja magát, ha az illető a leírásában található több mint száz bank egyikének a weboldalára téved.
Miután ez megtörtént, a vírus a háttérben automatikusan átirányítja a böngészőt egy phishing oldalra. Az egészből azonban a felhasználó semmit sem vesz észre, mivel az Internet Explorer címsorában megjelenített webcím ugyanaz marad. A gyanútlan internetező ezek után megadja az adatait, amit a bűnözők köszönnek szépen és a maguk céljaira használnak fel. A kártevőt azért nehéz hatástalanítani, mert nem tárolja el a phishing oldalak webcímeit, hanem amikor az ügyfél az adott bank honlapjára érkezik, akkor tárcsázza az adathalász portált. Az internetes bűnözők rájöttek, hogy ilyen módon megakadályozhatják, hogy a hatóságok gyorsan le tudják kapcsolni a világhálóról a hamis banki oldalakat.
Szakértők szerint a kártevő ellen egyelőre csupán két megoldás létezik. Először – és ez a legfontosabb – mindenki használjon legalább egy biztonsági alkalmazást, vagy lehetőleg egy vírusirtót és egy másik, valamilyen kémprogramok elleni szoftvert. Másrészt az igazi bankoldalak legegyszerűbben úgy különböztethetők meg a hamis társaiktól, hogy az adott portálra érve az alsó menüsorban mindig megjelenik egy titkosítási jel, egy lakatocska.
A számítógép esetleges fertőzöttsége úgy is ellenőrizhető, hogy a Windows rendszermappájának hosts mappájában – ami általában a C:WindowsSystem32driversetchosts útvonalon érhető el, és a Jegyzettömbbel megnyitható – lévő hosts fájlban általában csak a “127.0.0.1 localhost” sor található.
